一.组织介绍
蔓灵花(T-APT-17、BITTER)APT组织是一个背景来源于印度,并且长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,同年国内友商360也跟进发布了分析报告,命名为“蔓灵花”
该组织拥有自己定制恶意载荷的能力,其主要加载方式就是通过一个downloader(下载者木马)收集信息后,回传给c2.同时c2下发第二部分的有关载荷。比如键盘记录器,文件小偷,C#远控以及C编写的远控。同时该组织也擅长使用自解压文件,以及chm文件,漏洞文档等方式通过鱼叉邮件的方式投递于受害者。
其在最新的活动中信息侦查的组件通常的命名为: Audiodq,键盘记录器(键盘hook): igfxsrvk,拥有文件创建拷贝删除与传输、进程的创建挂起结束及其相关信息、cmd命令、剪切板信息、计算机基本信息包括CPU信息,计算机名称、磁盘信息的综合性RAT的命名为: MSAService系列(C#),Winsvc(C),权限维持系列(这里特指将信息侦查组件写入启动项): regdl,以及存在一些磁盘、文件等相关操作的Lsap,lsapc,lsapcr。
并且该组织也拥有PHP编写的页端C2
如下图所示:
不过这个页端C2存在的较为严重的安全漏洞比如SQL注入,弱口令,目录遍历等等。
二.档案内容
在持续1一个小时的时间内身为微步在线研究响应团队高级分析师的 Am0rf4tx表哥将带领你揭开这个组织的神秘面纱
本次内容将从三个方面进行讲述:
1.蔓灵花组织的完整画像解析
2. 蔓灵花组织的攻击战术及武器库资产特征挖掘
3. 南亚APT组织发展趋势预测
